SmokeLoader-Erkennung: Die Gruppe UAC-0006 startet eine neue Phishing-Kampagne gegen die Ukraine

[post-views]
Juli 13, 2023 · 3 min zu lesen
SmokeLoader-Erkennung: Die Gruppe UAC-0006 startet eine neue Phishing-Kampagne gegen die Ukraine

Achtung! Cyber-Verteidiger werden über eine neue Welle von Phishing-Angriffen informiert, die E-Mail-Betreffzeilen im Zusammenhang mit Rechnungen ausnutzen, wobei die Infektionskette durch das Öffnen einer bösartigen VBS-Datei ausgelöst wird, was zur Verbreitung von SmokeLoader-Malware auf den betroffenen Geräten führt. Laut der Untersuchung kann die bösartige Aktivität der finanziell motivierten UAC-0006-Hacking-Gruppe zugeschrieben werden, die in früheren Angriffen gegen die Ukraine beobachtet wurde, ebenfalls unter Verwendung der gleichen bösartigen Stämme und des Phishing-Angriffsvektors.

Analyse der offensiven Operationen von UAC-0006 zur Verbreitung von SmokeLoader-Malware

Etwas mehr als einen Monat nach Phishing-Angriffen von finanziell motivierten Hackern der UAC-0006 zielten auf die Ukraine ab, enthüllten Forscher von CERT-UA eine weitere Kampagne, die finanzielle Themen als Köder nutzt und ebenfalls SmokeLoader-Malware verbreitet. Hacker verbreiten massenhaft E-Mails mit rechnungsbezogenen Betreffzeilen und Anhängen, die eine VBS-Datei enthalten, die installiert werden soll und auf den betroffenen Geräten SmokeLoader-Malware ausgeführt werden soll.

In dieser Kampagne, die in der neuen CERT-UA#6999-Warnung behandelt wird, enthält die Malware-Konfigurationsdatei 45 Domainnamen, von denen 5 den A-Record verwenden und mit dem russischen Anbieter in Verbindung stehen. Um Persistenz aufrechtzuerhalten, ist die in diesen Angriffen verwendete Malware-Iteration in der Lage, die aktuellen A-Records für Domainnamen zu definieren, indem sie sich mit dem entsprechenden DNS-Server verbindet. UAC-0006-Gegner wenden die kompromittierten E-Mail-Konten ähnlich wie ihre Verhaltensmuster in den vorherigen Kampagnen gegen die Ukraine an.

Als mögliche Minderungsempfehlungen wird Verteidigern empfohlen, die Verwendung von Windows Script Host und PowerShell einzuschränken, um die Bedrohung zu minimieren.

Erkennung von UAC-0006-Aktivität im Rahmen der CERT-UA#6999-Warnung

Die zunehmenden Volumina offensiver Operationen im Zusammenhang mit UAC-0006 erfordern von Cyber-Verteidigern eine ultra-schnelle Reaktionsfähigkeit, um die damit verbundenen Angriffe rechtzeitig abzuwehren. Die SOC Prime Plattform für kollektive Cyber-Verteidigung liefert kuratierte Sigma-Regeln, um Organisationen dabei zu helfen, sich proaktiv gegen die Angriffe der Gruppe zu verteidigen, die massenhaft SmokeLoader verteilen, und relevante Angreifer-TTPs rechtzeitig zu identifizieren.

Klicken Sie auf die Dektoren erkunden Schaltfläche unten, um die gesamte Liste der Sigma-Regeln für die Erkennung von UAC-0006-Angriffen, die in der CERT-UA#6999-Warnung erwähnt werden, zu erhalten. Um die SOC-Inhaltssuche zu beschleunigen, wenden Sie die relevanten Tags „UAC-0006“ oder „CERT-UA#6999“ an. Alle Erkennungsalgorithmen werden durch Cyber-Bedrohungskontext verbessert und können automatisch in Dutzende von Sprachformaten umgewandelt werden.

Dektoren erkunden

Sicherheitsingenieure können auch Uncoder AI nutzen, um sofort nach IOC zu suchen, die in der CERT-UA#6999-Warnung aufgeführt sind, indem sie benutzerdefinierte IOC-Abfragen erstellen und diese im ausgewählten Umfeld in Echtzeit ausführen.

Jagden nach IOCs im Zusammenhang mit UAC-0006 über Uncoder AI

MITRE ATT&CK-Kontext

Cyber-Verteidiger können auch tiefere Einblicke in den Kontext hinter den Phishing-Angriffen von UAC-0006 gewinnen, indem sie die untenstehende Tabelle erkunden, die die Liste relevanter Angreifertaktiken und -techniken gemäß ATT&CK bereitstellt:

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

UAC-0226 Angriffserkennung: Neue Cyber-Spionage-Kampagne zielt mit GIFTEDCROOK Stealer auf ukrainische Innovationszentren und Regierungsbehörden ab
Blog, Neueste Bedrohungen — 4 min zu lesen
UAC-0226 Angriffserkennung: Neue Cyber-Spionage-Kampagne zielt mit GIFTEDCROOK Stealer auf ukrainische Innovationszentren und Regierungsbehörden ab
Veronika Telychko
Erkennung von UAC-0219-Angriffen: Eine neue Cyber-Spionage-Kampagne mit einem PowerShell Stealer WRECKSTEEL
Blog, Neueste Bedrohungen — 4 min zu lesen
Erkennung von UAC-0219-Angriffen: Eine neue Cyber-Spionage-Kampagne mit einem PowerShell Stealer WRECKSTEEL
Veronika Telychko
UAC-0200 Angriffsdetektion: Cyber-Spionage-Aktivität, die auf den Verteidigungssektor und die Streitkräfte der Ukraine mit DarkCrystal RAT abzielt
Blog, Neueste Bedrohungen — 3 min zu lesen
UAC-0200 Angriffsdetektion: Cyber-Spionage-Aktivität, die auf den Verteidigungssektor und die Streitkräfte der Ukraine mit DarkCrystal RAT abzielt
Veronika Telychko